原创 移動安全—Brida加解密數據
前言 在測試一些應用的時候(以移動端爲例),會經常發現客戶端和服務端的通訊數據是加密過的(如下圖),在這種情況下,我們如果想繼續測試下去,就得去逆向程序中使用的加密算法,然後寫程序實現它,然後在後續測試中使用它,這種方式需要耗費大
2019-10-25 22:50:28
10
原创 移動安全-突破證書校驗
前言 如果你是幹web安全的,當你在測試目前大多數的手機APP應用程序時,你一定遇到過burpsuite無法抓到數據包的情況,開始你以爲只是https的問題,但是當你使用了burpsuite僞證書也無法抓取到時,你心裏除了有句“M
2019-10-25 22:50:28
原创 滲透測試-文件上傳漏洞(墨者學院)
IIS 6.0解析漏洞 【背景環境】 【攻擊過程】 直接上傳ASP一句話木馬,上傳失敗,但是從響應包發現服務器是IIS 6.0: 嘗試藉助IIS 6.0的解析漏洞,更改文件後綴爲x.asp;xx.txt可被成功解析成asp格
2019-09-16 21:37:35
原创 滲透測試-網安實驗室(基礎關)
Base64 編碼轉換 理論基礎 什麼是Base64編碼? 在參數傳輸的過程中經常遇到的一種情況:使用全英文的沒問題,但一旦涉及到中文就會出現亂碼情況。與此類似,網絡上傳輸的字符並不全是可打印的字符,比如二進制文件、圖片等。Bas
2019-09-07 21:41:58
2
原创 滲透測試-網安實驗室(注入關)
萬能密碼 【第1題】 最簡單的SQL注入 分值: 100 Tips:題目裏有簡單提示 通關地址 【解題過程】 查看網頁源碼,提示使用admin登錄: 直接上萬能密碼——admin';#、admin' #、admin' or 1=
2019-09-04 21:49:43
1
原创 移動安全-Frida入門實戰
Frida相關知識 frida是一款方便並且易用的跨平臺Hook工具,使用它不僅可以Hook Java寫的應用程序,而且還可以Hook原生的應用程序。 frida分客戶端環境和服務端環境。在客戶端我們可以編寫Python代碼,用於
2019-09-04 21:49:43
6